Gå til innhold
IKT-sikkerhet. Foto: Colourbox
2017

Usikkert med ny sikkerhetslov

Regjeringen har kommet med ny lov om nasjonal sikkerhet; Sikkerhetsloven. Her foreslås det å utvide virkeområdet til å gjelde grunnleggende samfunnsfunksjoner. - Å utvide virkeområdet er bra, men ikke godt nok, sier NITO-president Trond Markussen. Han mener lovforslaget inneholder for mange uklarheter.

- Jeg er bekymret for at det enkelte departement fortsatt kan definere seg utenfor sikkerhetsloven. Det betyr at for eksempel Olje- og energidepartementet eller Helsedepartementet selv kan definere når deres område faller innunder sikkerhetsloven. Det er ikke godt nok.

- Virksomheter som behandler og lagrer sensitive data, for eksempel personopplysninger, kan havne i en gråsone. Dette gjelder for eksempel helsedata som eksplisitt burde vært omtalt i loven, sier Markussen (bildet).

- Det blir opp til det enkelte departement å vurdere hvorvidt noe skal være en grunnleggende samfunnsfunksjon. Jeg frykter at det kan oppstå situasjoner liknende den som har oppstått i Helse-Sørøst, sier Markussen.

Kompetanse på IKT-sikkerhet må styrkes

- Det er viktig at man styrker IKT-sikkerhetskompetanse i departementer og sektortilsyn. En standardisering av IKT-sikkerheten på tvers av alle sektorene er en forutsetning for å få til økt sikkerhet, påpeker Markussen.

Må lagres og driftes i Norge

Saken i Helse Sør-Øst viser at det finnes svært mye informasjon i ugraderte IKT-systemer som kan være sensitive og samfunnskritiske. NITO mener at alle offentlige registre som lagrer sensitive eller samfunnskritiske data må lagre data på servere i Norge, og registrene må driftes av personell i Norge. Samtidig kan sikkerheten økes gjennom innføring av minstekrav til IKT-sikkerhet. Da vil offentlig sektor måtte styrke sin kompetanse som kunde til store IT-leverandører (såkalt bestillerkompetanse).

Tilsynsansvaret fragmenteres

Sikkerhetsmyndigheten skal ha det overordnede ansvaret for å påse at det gjennomføres tilsyn med etterlevelse av loven. Samtidig blir det opp til den enkelte sektor å bestemme hvorvidt sektoren selv skal føre tilsyn etter sikkerhetsloven dersom visse krav oppfylles.

- Jeg frykter fragmentering av sikkerhetskravene, uttaler Markussen. - Det holder ikke at det lovfestes at sektormyndighetene skal samarbeide med sikkerhetsmyndigheten så lenge Nasjonal sikkerhetsmyndighet (NSM) ikke har mandat til å gjøre pålegg overfor de andre tilsynene.

- NSM sin rolle svekkes når man ikke har tilstrekkelig myndighet til å påse at sikkerhetskravene etterfølges.

- Krav til IKT-sikkerhet burde vært standardisert. Det er viktig at det er én aktør med hånden på rattet i forhold til utforming av sikkerhetskrav, sier Markussen.

Ikke god nok beskyttelse

Forsvarsdepartementet foreslår en dynamisk og fleksibel rammelov som skal bidra til å trygge våre overordnede nasjonale sikkerhetsinteresser. Den vil sette myndigheter og virksomheter bedre i stand til å sikre disse sentrale nasjonale interessene, mot et trussel- og risikobilde i stadig og rask endring.

Det kan være vanskelig nok for aktører i samfunnet å ta inn over seg at deres virke utgjør kritisk infrastruktur. Det blir ikke lettere når aktørenes virke blir trukket inn som en kritisk funksjon i det norske samfunnet.

NITO slutter seg også til at de generelle prinsippene for krisehåndtering og beredskap ligger fast, men organisasjonen understreke behovet for en helhetlig og sektorovergripende tilnærming til sikkerhet.

NITOs høringsinnspill januar 2017

Fagmiljøet NITO IKT

NITOs ulike politikkområder

Publisert: Sist oppdatert: